ایجاد محدودیت دسترسی مستقیم وب سایت‌ها به شبکه‌های خصوصی به دلایل امنیتی توسط کروم

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir chrome limits websites access to private networks 1
گوگل کروم اعلام کرده است که قصد دارد وب سایت‌های عمومی را از دسترسی مستقیم به‌ اند پوینت مستقر در شبکه‌های خصوصی به عنوان بخشی از تغییرات امنیتی بزرگ آینده برای جلوگیری از نفوذ از طریق مرورگر، منع و مسدود نماید.

تغییر پیشنهادی قرار است در دو مرحله شامل انتشار کروم 98 و کروم 101 که در ماه‌های آینده از طریق جزییات W3C جدید که اجرا شده و با نام دسترسی به شبکه خصوصی (PNA) برنامه‌ریزی شده است، ارائه گردد.

تیتوآن ریگودی و ایجی کیتامورا گفتند: "Chrome قبل از هر درخواست شبکه خصوصی برای یک منبع فرعی که از سرور هدف اجازه مستقیم می‌خواهد، درخواست CORS را ارسال می‌کند. این درخواست قبل از انتقال یک هدر جدید به نام Access-Control-Request-Private-Network: true انجام شده و پاسخ به آن باید یک هدر مربوطه داشته باشد، Access-Control-Allow-Private-Network: true".
takian.ir chrome limits websites access to private networks 2
این بدان معنی است که با آغاز به کار نسخه ۱۰۱ کروم، هر وب‌سایتی که از طریق اینترنت قابل دسترسی است، قبل از اینکه بتواند به منابع شبکه داخلی دسترسی پیدا کند، از مرورگر اجازه می‌گیرد. به عبارت دیگر، مشخصات PNA جدید یک شرط در داخل مرورگر اضافه می‌کند که از طریق آن وب‌سایت‌ها می‌توانند از سرور‌هایی که در پس شبکه‌های محلی قرار دارند برای به دست آوردن اتصال، درخواست نمایند.

ریگودی در آگوست ۲۰۲۱، زمانی که Google برای اولین بار برنامه‌های خود را برای رد کردن دسترسی به اندپوینت شبکه خصوصی از وب سایت‌های غیر ایمن اعلام کرد، خاطرنشان نمود: «این مشخصات همچنین پروتکل اشتراک‌گذاری منابع متقاطع یا Cross-Origin Resource Sharing (CORS) را به طوری گسترش می‌دهد که وب‌سایت‌ها اکنون باید صراحتا از سرور‌های موجود در شبکه‌های خصوصی قبل از اینکه درخواست‌های دلخواه ارسال کنند، درخواست کمک کنند».

به گفته محققان، هدف این کار محافظت از کاربران در برابر حملات جعل درخواست متقابل یا Cross-site request forgery (CSRF) است که روتر‌ها و سایر دستگاه‌ها را در شبکه‌های خصوصی هدف قرار می‌دهند، و به عاملان مخرب اجازه می‌دهد تا کاربران نامشخص را به سمت دامنه‌های مخرب تغییر مسیر دهند.

این مورد تنها محدود به کروم نیست. مرورگر اج مبتنی بر کرومیوم مایکروسافت حالت مرور جدیدی را به نسخه بتا (نسخه 98.0.1108.23) اضافه کرده است که هدف آن ایجاد یک لایه امنیتی اضافی برای کاهش بهره‌برداری در ضای سایبری از آسیب‌پذیری‌های روز صفر ناشناخته است.

مایکروسافت گفت: «این ویژگی گام بزرگی رو به جلو است زیرا به ما امکان می‌دهد مخاطرات روز صفر‌های فعال پیش‌بینی‌نشده (بر اساس روند‌های تاریخی) را کاهش دهیم. هنگامی که این ویژگی فعال می‌شود، حفاظت استک یا Stack Protection سخت‌افزاری، حفاظت از کد دلخواه یا Arbitary Code Guard (ACG) و محافظ جریان محتوا یا Content Flow Guard (CFG) را به جهت پشتیبانی از کاهش مخاطرات امنیتی برای افزایش امنیت کاربران در وب به ارمغان می‌آورد».

برچسب ها: Website, Private Network, اند پوینت, CFG, Content Flow Guard, Arbitary Code Guard, ACG, Stack Protection, CSRF, Cross-site request forgery, Cross-Origin Resource Sharing, PNA, CORS, وب سایت, کرومیوم, روز صفر, گوگل کروم, کروم, cybersecurity, Endpoint, Google Chrome, Chrome, مایکروسافت, Zero Day, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ